it-swarm.com.de

Bekämpfung von Spam - Was kann ich als E-Mail-Administrator, Domaininhaber oder Benutzer tun?

Dies ist eine kanonische Frage über die Bekämpfung von Spam.
Auch verwandt:

Es gibt so viele Techniken und so viel über den Kampf gegen SPAM zu wissen. Welche weit verbreiteten Techniken und Technologien stehen Administratoren, Domänenbesitzern und Endbenutzern zur Verfügung, um den Müll aus unseren Posteingängen fernzuhalten?

Wir suchen nach einer Antwort, die verschiedene Technologien aus verschiedenen Blickwinkeln abdeckt. Die akzeptierte Antwort sollte eine Vielzahl von Technologien enthalten (z. B. SPF/SenderID, DomainKeys/DKIM, Graylisting, DNS-RBLs, Reputationsdienste, Filtersoftware [SpamAssassin usw.]). Best Practices (z. B. Mail an Port 25 sollte niemals weitergeleitet werden dürfen, Port 587 sollte verwendet werden usw.), Terminologie (z. B. Open Relay, Backscatter, MSA/MTA/MUA, Spam/Ham) und möglicherweise andere Techniken.

109
Chris S

Um deinen Feind zu besiegen, musst du deinen Feind kennen.

Was ist Spam?

Für unsere Zwecke ist Spam jede unerwünschte elektronische Massennachricht. Spam soll heutzutage ahnungslose Benutzer dazu verleiten, eine (normalerweise zwielichtige) Website zu besuchen, auf der sie aufgefordert werden, Produkte zu kaufen oder Malware auf ihre Computer oder beides zu liefern. Einige Spam-Mails liefern Malware direkt.

Es mag Sie überraschen zu erfahren, dass der erste Spam 1864 gesendet wurde. Es war eine Werbung für zahnärztliche Leistungen, die per Western Union-Telegramm gesendet wurde. Das Wort selbst ist ein Verweis an a Szene in Monty Pythons fliegender Zirkus .

Spam bezieht sich in diesem Fall nicht auf den Mailinglistenverkehr, den ein Benutzer abonniert hat, auch wenn er später seine Meinung geändert (oder vergessen) hat, sich aber noch nicht abgemeldet hat.

Warum ist Spam ein Problem?

Spam ist ein Problem, weil es funktioniert für die Spammer. Spam generiert normalerweise mehr als genug Verkäufe (oder Malware-Lieferung oder beides), um die Kosten zu decken - an den Spammer - an das Senden. Der Spammer berücksichtigt nicht die Kosten für den Empfänger, Sie und Ihre Benutzer. Selbst wenn eine winzige Minderheit der Benutzer, die Spam erhalten, darauf reagiert, reicht dies aus.

So können Sie die Rechnungen für Bandbreite, Server und Administratorzeit bezahlen, um eingehenden Spam zu bearbeiten.

Wir blockieren Spam aus folgenden Gründen: Wir möchten ihn nicht sehen, unsere Kosten für die Bearbeitung von E-Mails senken und Spam für die Spammer verteuern.

Wie funktioniert Spam?

Spam wird normalerweise auf andere Weise als normale, legitime E-Mails zugestellt.

Spammer möchten fast immer den Ursprung der E-Mail verdecken, daher enthält ein typischer Spam gefälschte Header-Informationen. Die Adresse From: Ist normalerweise falsch. Einige Spam-Mails enthalten gefälschte Received: - Zeilen, um die Spur zu verschleiern. Viel Spam wird über offene SMTP-Relays, offene Proxyserver und Botnets übertragen. All diese Methoden erschweren die Feststellung, wer den Spam verursacht hat.

Im Posteingang des Benutzers dient der Spam dazu, den Benutzer zum Besuch der beworbenen Website zu verleiten. Dort wird der Benutzer zum Kauf verleitet, oder die Site versucht, Malware auf dem Computer des Benutzers oder auf beiden zu installieren. Oder der Spam fordert den Benutzer auf, einen Anhang zu öffnen, der Malware enthält.

Wie stoppe ich Spam?

Als Systemadministrator eines Mailservers konfigurieren Sie Ihren Mailserver und Ihre Domain so, dass es für Spammer schwieriger wird, ihren Benutzern Spam zuzustellen.

Ich werde Themen behandeln, die sich speziell auf Spam konzentrieren, und möglicherweise Dinge überspringen, die nicht direkt mit Spam zusammenhängen (z. B. Verschlüsselung).

Führen Sie kein offenes Relais aus

Die große Sünde des Mailservers besteht darin, einen Relais öffnen auszuführen, einen SMTP-Server, der E-Mails für jedes Ziel akzeptiert und weiterleitet. Spammer lieben offene Relais, weil sie die Lieferung praktisch garantieren. Sie übernehmen die Last, Nachrichten zuzustellen (und es erneut zu versuchen!), Während der Spammer etwas anderes tut. Sie machen Spam billig.

Offene Relais tragen ebenfalls zum Problem der Rückstreuung bei. Dies sind Nachrichten, die vom Relais akzeptiert, dann aber als unzustellbar befunden wurden. Das offene Relais sendet dann eine Bounce-Nachricht an die Adresse From:, Die eine Kopie des Spam enthält.

  • Konfigurieren Sie Ihren Mailserver so, dass eingehende E-Mails an Port 25 nur für Ihre eigene Domain (s) akzeptiert werden. Bei den meisten Mailservern ist dies das Standardverhalten, aber Sie müssen dem Mailserver zumindest mitteilen, wie Ihre Domänen lauten.
  • Testen Sie Ihr System, indem Sie Ihrem SMTP-Server eine E-Mail von außerhalb Ihres Netzwerks senden, in der sich die Adressen From: Und To: Nicht in Ihrer Domain befinden. Die Nachricht sollte abgelehnt werden. (Oder verwenden Sie einen Onlinedienst wie MX Toolbox , um den Test durchzuführen. Beachten Sie jedoch, dass einige Onlinedienste Ihre IP-Adresse an Blacklists senden, wenn Ihr Mailserver den Test nicht besteht.)

Lehnen Sie alles ab, was zu verdächtig aussieht

Verschiedene Fehlkonfigurationen und Fehler können ein Hinweis darauf sein, dass eine eingehende Nachricht wahrscheinlich Spam oder auf andere Weise unzulässig ist.

  • Als Spam markieren oder Nachrichten ablehnen, für die die IP-Adresse keinen Reverse-DNS (PTR-Eintrag) hat. Behandeln Sie das Fehlen eines PTR-Eintrags für IPv4-Verbindungen härter als für IPv6-Verbindungen, da viele IPv6-Adressen noch kein Reverse-DNS haben und möglicherweise mehrere Jahre lang nicht, bis die DNS-Serversoftware diese potenziell sehr großen Zonen besser verarbeiten kann.
  • Nachrichten ablehnen, für die der Domänenname in der Absender- oder Empfängeradresse nicht vorhanden ist.
  • Nachrichten ablehnen, die keine vollständig qualifizierten Domänennamen für die Absender- oder Empfängerdomänen verwenden, es sei denn, sie stammen aus Ihrer Domäne und sollen innerhalb Ihrer Domäne zugestellt werden (z. B. Überwachungsdienste).
  • Lehnen Sie Verbindungen ab, bei denen das andere Ende kein HELO/EHLO sendet.
  • Verbindungen ablehnen, bei denen HELO/EHLO lautet:
    • kein vollqualifizierter Domainname und keine IP-Adresse
    • offensichtlich falsch (z. B. Ihr eigener IP-Adressraum)
  • Verweigern Sie Verbindungen, die Pipelining verwenden, ohne dazu berechtigt zu sein.

Authentifizieren Sie Ihre Benutzer

E-Mails, die auf Ihren Servern ankommen, sollten als eingehende und ausgehende E-Mails betrachtet werden. Eingehende E-Mails sind alle E-Mails, die auf Ihrem SMTP-Server eingehen und letztendlich für Ihre Domain bestimmt sind. Ausgehende E-Mails sind E-Mails, die auf Ihrem SMTP-Server eingehen und vor der Zustellung an eine andere Stelle übertragen werden (z. B. an eine andere Domain). Eingehende E-Mails können von Ihren Spam-Filtern verarbeitet werden und kommen möglicherweise von überall her, müssen jedoch immer für Ihre Benutzer bestimmt sein. Diese E-Mail kann nicht authentifiziert werden, da nicht für jede Site, die Ihnen möglicherweise E-Mails sendet, Anmeldeinformationen angegeben werden können.

Ausgehende E-Mails, dh E-Mails, die weitergeleitet werden , müssen authentifiziert werden. Dies ist der Fall, unabhängig davon, ob es aus dem Internet oder aus Ihrem Netzwerk stammt (obwohl Sie die IP-Adressbereiche einschränken sollten, die zur Verwendung Ihres Mailservers zulässig sind, wenn dies betrieblich möglich ist). Dies liegt daran, dass möglicherweise Spambots in Ihrem Netzwerk ausgeführt werden. Konfigurieren Sie Ihren SMTP-Server daher so, dass für andere Netzwerke gebundene E-Mails gelöscht werden (der Relay-Zugriff wird verweigert), sofern diese E-Mails nicht authentifiziert werden. Besser noch: Verwenden Sie separate Mailserver für eingehende und ausgehende E-Mails, lassen Sie überhaupt keine Weiterleitung für eingehende E-Mails zu und erlauben Sie keinen nicht authentifizierten Zugriff auf ausgehende E-Mails.

Wenn Ihre Software dies zulässt, sollten Sie Nachrichten auch nach dem authentifizierten Benutzer filtern. Wenn die Absenderadresse der E-Mail nicht mit dem authentifizierten Benutzer übereinstimmt, sollte sie abgelehnt werden. Aktualisieren Sie die Absenderadresse nicht stillschweigend. Der Benutzer sollte über den Konfigurationsfehler informiert sein.

Sie sollten auch den Benutzernamen protokollieren, der zum Senden von E-Mails verwendet wird, oder einen identifizierenden Header hinzufügen. Auf diese Weise haben Sie bei Missbrauch Beweise und wissen, mit welchem ​​Konto dies geschehen ist. Auf diese Weise können Sie gefährdete Konten und problematische Benutzer isolieren. Dies ist besonders für Shared Hosting-Anbieter von Nutzen.

Filtern Sie den Verkehr

Sie möchten sicher sein, dass E-Mails, die Ihr Netzwerk verlassen, tatsächlich von Ihren (authentifizierten) Benutzern gesendet werden, nicht von Bots oder Personen von außerhalb. Die Einzelheiten dazu hängen davon ab, welche Art von System Sie verwalten.

Im Allgemeinen ist es eine gute Idee, den Ausgangsverkehr an den Ports 25, 465 und 587 (SMTP, SMTP/SSL und Submission) für alles außer Ihren ausgehenden Mailservern zu blockieren, wenn Sie ein Unternehmensnetzwerk sind. Auf diese Weise können Bots, die Malware in Ihrem Netzwerk ausführen, keinen Spam aus Ihrem Netzwerk senden, um Relais im Internet zu öffnen oder um eine Adresse direkt an den endgültigen MTA zu senden.

Hotspots sind ein Sonderfall, da legitime E-Mails von ihnen aus vielen verschiedenen Domänen stammen, aber (unter anderem aufgrund von SPF) ein "erzwungener" Mailserver unangemessen ist und Benutzer den SMTP-Server ihrer eigenen Domäne zum Senden von E-Mails verwenden sollten. Dieser Fall ist viel schwieriger, aber die Verwendung einer bestimmten öffentlichen IP oder eines bestimmten IP-Bereichs für den Internetverkehr von diesen Hosts (um den Ruf Ihrer Site zu schützen), die Drosselung des SMTP-Verkehrs und die eingehende Paketprüfung sind zu berücksichtigende Lösungen.

In der Vergangenheit haben Spambots Spam hauptsächlich auf Port 25 ausgegeben, aber nichts hindert sie daran, Port 587 für denselben Zweck zu verwenden. Daher ist das Ändern des für eingehende E-Mails verwendeten Ports von zweifelhaftem Wert. Die Verwendung von Port 587 für die E-Mail-Übermittlung wird jedoch von RFC 2476 empfohlen und ermöglicht eine Trennung zwischen E-Mail-Übermittlung (an den ersten MTA) und E-Mail-Übertragung (zwischen MTAs), wenn dies aus der Netzwerktopologie nicht ersichtlich ist ;; Wenn Sie eine solche Trennung benötigen, sollten Sie dies tun.

Wenn Sie ein ISP, ein VPS-Host, ein Colocation-Anbieter oder ein ähnlicher Anbieter sind oder einen Hotspot für Besucher bereitstellen, kann das Blockieren des SMTP-Datenverkehrs für Benutzer, die E-Mails über ihre eigenen Domänen senden, problematisch sein. Mit Ausnahme eines öffentlichen Hotspots sollten Sie in allen Fällen Benutzer, die ausgehenden SMTP-Zugriff benötigen, weil sie einen Mailserver ausführen, dazu auffordern, diesen speziell anzufordern. Lassen Sie sie wissen, dass Missbrauchsbeschwerden letztendlich dazu führen, dass der Zugriff beendet wird, um Ihren Ruf zu schützen.

Dynamische IPs und solche, die für die virtuelle Desktop-Infrastruktur verwendet werden, sollten niemals ausgehenden SMTP-Zugriff haben, außer auf den spezifischen Mailserver, den diese Knoten voraussichtlich verwenden. Diese Arten von IPs sollte erscheinen auch auf schwarzen Listen, und Sie sollten nicht versuchen, einen guten Ruf für sie aufzubauen. Dies liegt daran, dass es äußerst unwahrscheinlich ist, dass sie einen legitimen MTA ausführen.

Erwägen Sie die Verwendung von SpamAssassin

SpamAssassin ist ein E-Mail-Filter, mit dem Spam anhand der Nachrichtenkopfzeilen und des Inhalts identifiziert werden kann. Es verwendet ein regelbasiertes Bewertungssystem, um die Wahrscheinlichkeit zu bestimmen, dass eine Nachricht Spam ist. Je höher die Punktzahl, desto wahrscheinlicher ist die Nachricht Spam.

SpamAssassin verfügt außerdem über eine Bayes'sche Engine, mit der Spam- und Schinkenproben (legitime E-Mails) analysiert werden können.

Die beste Vorgehensweise für SpamAssassin besteht darin, die E-Mail nicht abzulehnen, sondern in einem Junk- oder Spam-Ordner abzulegen. MUAs (Mail User Agents) wie Outlook und Thunderbird können so eingerichtet werden, dass sie die Header erkennen, die SpamAssassin E-Mail-Nachrichten hinzufügt, und sie entsprechend ablegen. False Positives können und können passieren, und obwohl sie selten sind, werden Sie davon erfahren, wenn es dem CEO passiert. Diese Konversation wird viel besser, wenn die Nachricht einfach in den Junk-Ordner geliefert und nicht sofort abgelehnt wurde.

SpamAssassin ist jedoch fast einzigartig es gibt einige Alternativen .

  • Installieren Sie SpamAssassin und konfigurieren Sie das automatische Update für seine Regeln mit sa-update.
  • Erwägen Sie gegebenenfalls die Verwendung von benutzerdefinierte Regeln .
  • Erwägen Sie die Einrichtung von Bayes'sche Filterung .

Erwägen Sie die Verwendung von DNS-basierten Blackhole-Listen und Reputationsdiensten

DNSBLs (früher als RBLs oder Echtzeit-Blackhole-Listen bekannt) enthalten Listen mit IP-Adressen, die mit Spam oder anderen böswilligen Aktivitäten verbunden sind. Diese werden von unabhängigen Dritten nach ihren eigenen Kriterien betrieben. Prüfen Sie daher sorgfältig, ob die von einer DNSBL verwendeten Auflistungs- und Delisting-Kriterien mit der Notwendigkeit Ihres Unternehmens kompatibel sind, E-Mails zu erhalten. Zum Beispiel haben einige DNSBLs drakonische Delisting-Richtlinien, die es für jemanden, der versehentlich aufgelistet wurde, sehr schwierig machen, entfernt zu werden. Andere werden automatisch gelöscht, nachdem die IP-Adresse für einen bestimmten Zeitraum keinen Spam gesendet hat, was sicherer ist. Die meisten DNSBLs können kostenlos verwendet werden.

Reputationsdienste sind ähnlich, behaupten jedoch, bessere Ergebnisse zu liefern, indem mehr Daten analysiert werden, die für eine bestimmte IP-Adresse relevant sind. Die meisten Reputationsdienste erfordern eine Abonnementzahlung oder einen Hardwarekauf oder beides.

Es gibt Dutzende von DNSBLs und Reputationsdiensten, obwohl einige der bekannteren und nützlicheren, die ich verwende und empfehle, sind:

Konservative Listen:

Aggressive Listen:

Wie bereits erwähnt, sind viele Dutzend andere verfügbar und können Ihren Anforderungen entsprechen. Einer meiner Lieblingstricks ist IP-Adresse nachschlagen , der einen Spam auslieferte, der gegen mehrere DNSBLs durchging, um zu sehen, welcher von ihnen ihn abgelehnt hätte.

  • Überprüfen Sie für jeden DNSBL- und Reputationsdienst die Richtlinien zum Auflisten und Löschen von IP-Adressen und stellen Sie fest, ob diese mit den Anforderungen Ihres Unternehmens kompatibel sind.
  • Fügen Sie die DNSBL zu Ihrem SMTP-Server hinzu, wenn Sie entschieden haben, dass dieser Dienst angemessen ist.
  • Weisen Sie jedem DNSBL eine Punktzahl und Konfiguration in SpamAssassin anstelle Ihres SMTP-Servers zu. Dies verringert die Auswirkung eines falsch positiven Ergebnisses. Eine solche Nachricht würde (möglicherweise an Junk/Spam) übermittelt, anstatt zurückgeschickt zu werden. Der Nachteil ist, dass Sie eine Menge Spam liefern.
  • Oder lehnen Sie es sofort ab, wenn sich die IP-Adresse in einer der konservativeren Listen befindet, und konfigurieren Sie die aggressiveren Listen in SpamAssassin.

Verwenden Sie SPF

SPF (Sender Policy Framework; RFC 4408 und RFC 6652 ) ist ein Mittel, um das Spoofing von E-Mail-Adressen zu verhindern, indem angegeben wird, welche Internet-Hosts berechtigt sind, E-Mails für einen bestimmten Domainnamen zuzustellen.

  • Konfigurieren Sie Ihren DNS so, dass er einen SPF-Eintrag bei Ihren autorisierten Postausgangsservern deklariert und -all Alle anderen ablehnt.
  • Konfigurieren Sie Ihren Mailserver so, dass er die SPF-Datensätze eingehender E-Mails überprüft, sofern vorhanden, und E-Mails ablehnt, bei denen die SPF-Überprüfung fehlschlägt. Überspringen Sie diese Prüfung, wenn die Domäne keine SPF-Einträge enthält.

Untersuchen Sie DKIM

DKIM (DomainKeys Identified Mail; RFC 6376 ) ist eine Methode zum Einbetten digitaler Signaturen in E-Mail-Nachrichten, die mit im DNS veröffentlichten öffentlichen Schlüsseln überprüft werden kann. Es ist patentbelastet in den USA, was seine Annahme verlangsamt hat. DKIM-Signaturen können auch unterbrochen werden, wenn eine Nachricht während der Übertragung geändert wird (z. B. können SMTP-Server gelegentlich MIME-Nachrichten neu packen).

  • Erwägen Sie, Ihre ausgehenden E-Mails mit DKIM-Signaturen zu signieren. Beachten Sie jedoch, dass die Signaturen selbst bei legitimen E-Mails möglicherweise nicht immer korrekt überprüft werden.

Erwägen Sie die Verwendung von Greylisting

Greylisting ist eine Technik, bei der der SMTP-Server eine vorübergehende Ablehnung für eine eingehende Nachricht anstelle einer dauerhaften Ablehnung ausgibt. Wenn die Zustellung in wenigen Minuten oder Stunden wiederholt wird, akzeptiert der SMTP-Server die Nachricht.

Greylisting kann einige Spam-Software stoppen, die nicht robust genug ist, um zwischen vorübergehenden und dauerhaften Ablehnungen zu unterscheiden, aber nicht bei Spam hilft, der an ein offenes Relay gesendet wurde, oder bei robusterer Spam-Software. Außerdem werden Lieferverzögerungen eingeführt, die Benutzer möglicherweise nicht immer tolerieren.

  • Erwägen Sie die Verwendung von Greylisting nur in extremen Fällen, da dies den legitimen E-Mail-Verkehr stark stört.

Erwägen Sie die Verwendung von Nolisting

Nolisting ist eine Methode zum Konfigurieren Ihrer MX-Einträge, sodass für den Datensatz mit der höchsten Priorität (niedrigste Präferenznummer) kein SMTP-Server ausgeführt wird. Dies beruht auf der Tatsache, dass viele Spam-Programme nur den ersten MX-Datensatz versuchen, während legitime SMTP-Server alle MX-Datensätze in aufsteigender Reihenfolge ihrer Präferenz testen. Einige Spam-Software versucht auch, unter Verstoß gegen RFC 5321 direkt an den MX-Datensatz mit der niedrigsten Priorität (höchste Präferenznummer) zu senden, sodass auch eine IP-Adresse ohne SMTP-Server festgelegt werden kann. Dies wird als sicher gemeldet, obwohl Sie wie bei allem zuerst sorgfältig testen sollten.

  • Stellen Sie Ihren MX-Eintrag mit der höchsten Priorität so ein, dass er auf einen Host verweist, der nicht auf Port 25 antwortet.
  • Stellen Sie Ihren MX-Eintrag mit der niedrigsten Priorität so ein, dass er auf einen Host verweist, der nicht auf Port 25 antwortet.

Betrachten Sie eine Spam-Filter-Appliance

Stellen Sie eine Spamfilter-Appliance wie Cisco IronPort oder Barracuda Spam & Virus Firewall (oder andere ähnliche Appliances) vor Ihren vorhandenen SMTP-Server, um einen Großteil der Arbeit zu erledigen Reduzieren Sie den Spam, den Sie erhalten. Diese Appliances sind mit DNSBLs, Reputationsdiensten, Bayes'schen Filtern und den anderen von mir behandelten Funktionen vorkonfiguriert und werden von ihren Herstellern regelmäßig aktualisiert.

  • Informieren Sie sich über Hardware und Abonnementkosten für die Spamfilter-Appliance.

Betrachten Sie gehostete E-Mail-Dienste

Wenn es Ihnen (oder Ihren überlasteten IT-Mitarbeitern) zu viel ist, können Sie Ihre E-Mails jederzeit von einem Drittanbieter für Sie bearbeiten lassen. Dienste wie Google Postini , Symantec MessageLabs Email Security (oder andere) filtern Nachrichten für Sie. Einige dieser Dienste können auch behördliche und gesetzliche Anforderungen erfüllen.

  • Recherchieren Sie die Abonnementkosten für gehostete E-Mail-Dienste.

Welche Hinweise sollten Sysadmins Endbenutzern zur Bekämpfung von Spam geben?

Die absolute Nummer 1, die Endbenutzer tun sollten, um Spam zu bekämpfen, ist:

  • Reagieren Sie nicht auf den Spam.

    Wenn es lustig aussieht, klicken Sie nicht auf den Website-Link und öffnen Sie den Anhang nicht. Egal wie attraktiv das Angebot erscheint. Das Viagra ist nicht so billig, Sie werden nicht wirklich nackte Bilder von irgendjemandem bekommen, und es gibt keine 15 Millionen Dollar in Nigeria oder anderswo außer dem Geld, das von Leuten genommen wird, die did antworte auf den Spam.

  • Wenn Sie eine Spam-Nachricht sehen, markieren Sie diese je nach E-Mail-Client als Junk oder Spam.

  • Markieren Sie eine Nachricht NICHT als Junk/Spam, wenn Sie sich tatsächlich für den Empfang der Nachrichten angemeldet haben und nur den Empfang der Nachrichten beenden möchten. Melden Sie sich stattdessen mit der angegebenen Abmeldemethode von der Mailingliste ab.

  • Überprüfen Sie regelmäßig Ihren Junk/Spam-Ordner, um festzustellen, ob legitime Nachrichten eingegangen sind. Markieren Sie diese als Nicht Junk/Nicht Spam und fügen Sie den Absender Ihren Kontakten hinzu, um zu verhindern, dass ihre Nachrichten in Zukunft als Spam markiert werden.

98
Michael Hampton

Ich habe im Laufe der Jahre über 100 separate E-Mail-Umgebungen verwaltet und zahlreiche Prozesse verwendet, um Spam zu reduzieren oder zu beseitigen.

Die Technologie hat sich im Laufe der Zeit weiterentwickelt, daher wird diese Antwort einige der Dinge durchgehen, die ich in der Vergangenheit versucht habe, und den aktuellen Stand der Dinge detailliert beschreiben.

Ein paar Gedanken zum Schutz ...

  • Sie möchten Port 25 Ihres Posteingangsservers davor schützen, ein offenes Relay zu sein, über das jeder E-Mails über Ihre Infrastruktur senden kann. Dies ist unabhängig von der jeweiligen Mailservertechnologie, die Sie möglicherweise verwenden. Remotebenutzer sollten einen alternativen Übermittlungsport verwenden und eine Form der erforderlichen Authentifizierung für die Weiterleitung von E-Mails. Port 587 oder Port 465 sind die gängigen Alternativen zu 25.
  • Verschlüsselung ist auch ein Plus. Viel E-Mail-Verkehr wird im Klartext gesendet. Wir sind an dem Punkt angelangt, an dem die meisten Mailsysteme irgendeine Form der Verschlüsselung unterstützen können. Einige Ereignisse erwarten es.
  • Dies sind proaktivere Ansätze, um zu verhindern, dass Ihre Mail-Site als Spam-Quelle eingestuft wird ...

In Bezug auf eingehenden Spam ...

  • Greylisting war für kurze Zeit ein interessanter Ansatz. Erzwingen Sie eine vorübergehende Ablehnung/Verzögerung in der Hoffnung, dass ein Spammer die Verbindung trennen und eine Gefährdung oder die Zeit und Ressourcen vermeiden würde, die zum Anfordern von Nachrichten erforderlich sind. Dies hatte den Effekt unvorhersehbarer Verzögerungen bei der E-Mail-Zustellung zur Folge, funktionierte nicht gut mit E-Mails von großen Serverfarmen, und Spammer entwickelten schließlich Problemumgehungen. Die schlimmste Auswirkung war die Verletzung der Benutzererwartung einer schnellen E-Mail-Zustellung.
  • Mehrere MX-Relais müssen noch geschützt werden. Einige Spammer würden versuchen, an ein Backup oder MX mit niedrigerer Priorität zu senden, in der Hoffnung, dass es weniger robust gefiltert wird.
  • Realtime Black (Hole) Lists (RBL/DNSBL) - Diese verweisen auf zentral verwaltete Datenbanken, um zu überprüfen, ob ein sendender Server aufgeführt ist. Das starke Vertrauen in RBLs ist mit Einschränkungen verbunden. Einige waren nicht so seriös wie andere. Die Angebote von Spamhaus waren immer gut für mich. Andere, wie SORBS , haben einen schlechten Ansatz bei der Auflistung von IPs und blockieren häufig legitime E-Mails. In einigen Fällen wurde es mit einem Erpressungsplot verglichen, da das Delisting häufig mit $$$ verbunden ist.
  • Sender Policy Framework (SPF) - Grundsätzlich ein Mittel, um sicherzustellen, dass ein bestimmter Host berechtigt ist, E-Mails für eine bestimmte Domain zu senden, wie durch einen DNS TXT-Eintrag) definiert. Es ist empfehlenswert, SPF-Einträge für Ihre ausgehenden E-Mails zu erstellen, aber es empfiehlt sich, sie von den an Sie gesendeten Servern zu erforderlich.
  • Domain Keys - Noch nicht weit verbreitet ... noch nicht.
  • Bounce-Unterdrückung - Verhindert, dass ungültige E-Mails an ihre Quelle zurückgegeben werden. Einige Spammer würden versuchen zu sehen, welche Adressen aktiv/gültig sind, indem sie Backscatter analysieren, um eine Karte mit verwendbaren Adressen zu erstellen.
  • Reverse DNS/PTR-Prüfungen - Überprüfen Sie, ob ein sendender Server über einen gültigen Reverse PTR-Eintrag verfügt. Dies muss nicht mit der Ursprungsdomäne übereinstimmen, da eine Viele-zu-Eins-Zuordnung von Domänen zu einem Host möglich ist. Es ist jedoch gut, den Besitz eines IP-Bereichs zu bestimmen und festzustellen, ob der Ursprungsserver Teil eines dynamischen IP-Blocks ist (z. B. Heim-Breitband - lesen Sie: kompromittierte Spambots).
  • Inhaltsfilterung nzuverlässig) - Der Versuch, Permutationen von "(Viagra, v\| agra, viagra, vilgra.)" Gegenzuwirken, ist für den Administrator zeitaufwändig und lässt sich in einer größeren Umgebung nicht skalieren.
  • --- (Bayes'sche Filterung - Weiterentwickelte Spam-Lösungen ermöglichen eine globale oder benutzerbezogene Schulung von E-Mails. Lesen Sie den verlinkten Artikel über die Heuristik. Der wichtigste Punkt ist jedoch, dass E-Mails manuell als gut (Ham) oder schlecht (Spam) klassifiziert werden können. Die resultierenden Nachrichten füllen eine Bayes'sche Datenbank, auf die verwiesen werden kann, um die Kategorisierung zukünftiger Nachrichten zu bestimmen. In der Regel ist dies mit einer Spam-Bewertung oder einer Gewichtung verbunden und kann eine von wenigen Techniken sein, mit denen bestimmt wird, ob eine Nachricht zugestellt werden soll.
  • Ratensteuerung/Drosselung - Einfacher Ansatz. Begrenzen Sie, wie viele Nachrichten ein bestimmter Server innerhalb eines bestimmten Zeitraums zuzustellen versuchen kann. Verschieben Sie alle Nachrichten über diesen Schwellenwert. Dies wird normalerweise auf der Mailserverseite konfiguriert.
  • Gehostete und Cloud-Filterung. Postini fällt mir ein, da dies eine Wolke Lösung war, bevor Wolke ein Schlagwort war. Die Stärke einer gehosteten Lösung besteht nun darin, dass die Verarbeitung des E-Mail-Volumens Skaleneffekte mit sich bringt. Datenanalyse und einfache geografische Reichweite können einer gehosteten Spam-Filterlösung helfen, sich an Trends anzupassen. Die Ausführung ist jedoch einfach. 1). Zeigen Sie mit Ihrem MX-Eintrag auf die gehostete Lösung. 2). Geben Sie eine Server-Lieferadresse nach dem Filtern an. 3). Profit.

Mein aktueller Ansatz:

Ich bin ein starker Befürworter von Appliance-basierten Spam-Lösungen. Ich möchte am Umfang des Netzwerks ablehnen und die CPU-Zyklen auf der Mail-Server-Ebene speichern. Die Verwendung einer Appliance bietet auch eine gewisse Unabhängigkeit von der eigentlichen Mail-Server-Lösung (Mail Delivery Agent).

Ich empfehle Barracuda Spam Filter Appliances aus einer Reihe von Gründen. Ich habe mehrere Dutzend Einheiten bereitgestellt, und die webgesteuerte Benutzeroberfläche, das Mindshare der Branche und die Art der Set-and-Forget-Appliance machen es zu einem Gewinner. Die Backend-Technologie enthält viele der oben aufgeführten Techniken.

  • Ich blockiere Port 25 an der IP-Adresse meines Mailservers und setze stattdessen den MX-Eintrag für die Domäne auf die öffentlich zugängliche Adresse der Barracuda-Appliance - z. spam.domain.com. Port 25 ist für die Postzustellung geöffnet.
  • Der Kern ist SpamAssassin - abgeleitet mit einer einfachen Schnittstelle zu einem Nachrichtenprotokoll (und einer Bayes'schen Datenbank), mit dem gute E-Mails während einer ersten Schulungsphase von schlechten E-Mails unterschieden werden können.
  • Barracuda nutzt standardmäßig mehrere RBLs, einschließlich der von Spamhaus.org und ihrer eigenen BRBL-Reputationsdatenbank . Hinweis - das BRBL kann kostenlos als Standard-RBL für andere Mailsysteme verwendet werden.
  • Die Barracuda-Reputationsdatenbank wird aus Live-Daten, Honeypots, umfangreichen Analysen und einer beliebigen Anzahl proprietärer Techniken zusammengestellt. Es hat eine registrierte Whitelist und Blockliste. Mail-Absender mit hohem Volumen und hoher Sichtbarkeit registrieren sich häufig bei Barracuda für die automatische Whitelist. Beispiele sind Blackberry, ständiger Kontakt usw.
  • SPF-Prüfungen können aktiviert werden (ich aktiviere sie jedoch nicht).
  • Es gibt eine Schnittstelle, über die E-Mails überprüft und bei Bedarf aus dem E-Mail-Cache der Appliance erneut zugestellt werden können. Dies ist hilfreich in Fällen, in denen ein Benutzer eine Nachricht erwartet hat, die möglicherweise nicht alle Spam-Prüfungen bestanden hat.
  • Die LDAP/Active Directory-Benutzerüberprüfung beschleunigt die Erkennung ungültiger E-Mail-Empfänger. Dies spart Bandbreite und verhindert Backscatter .
  • IP/Absenderadresse/Domain/Herkunftsland können alle konfiguriert werden. Wenn ich alle E-Mails von italienischen Domain-Suffixen ablehnen möchte, ist dies möglich. Wenn ich verhindern möchte, dass E-Mails von einer bestimmten Domain gesendet werden, ist dies einfach zu konfigurieren. Wenn ich verhindern möchte, dass Stalker eines Benutzers E-Mails an den Benutzer sendet, ist dies machbar (wahre Geschichte).
  • Barracuda bietet eine Reihe von vordefinierten Berichten und eine gute visuelle Anzeige des Appliance-Status und der Spam-Metriken.
  • Ich mag es, eine Appliance vor Ort zu haben, um diese Verarbeitung intern aufrechtzuerhalten und möglicherweise eine E-Mail-Journalverbindung nach dem Filter zu haben (in Umgebungen, in denen eine Aufbewahrung von E-Mails erforderlich ist).
  • Plus Die Appliance kann sich in einer virtualisierten Infrastruktur befinden.

Barracuda Spam & Virus Firewall 300 Statuskonsole enter image description here


Neuerer Ansatz:

Ich habe im letzten Monat mit Barracudas Cloud-basiertem E-Mail-Sicherheitsdienst experimentiert. Dies ähnelt anderen gehosteten Lösungen, eignet sich jedoch gut für kleinere Standorte, an denen eine teure Appliance unerschwinglich ist. Gegen eine geringe jährliche Gebühr bietet dieser Service etwa 85% der Leistung der Hardware-Appliance. Der Dienst kann auch zusammen mit einer Vor-Ort-Appliance ausgeführt werden, um die eingehende Bandbreite zu reduzieren und eine weitere Sicherheitsebene bereitzustellen. Es ist auch ein netter Puffer, der bei einem Serverausfall E-Mails spoolen kann. Die Analysen sind immer noch nützlich, jedoch nicht so detailliert wie die einer physischen Einheit.

Barracuda Cloud Email Security Console enter image description here

Alles in allem habe ich viele Lösungen ausprobiert, aber angesichts des Umfangs bestimmter Umgebungen und der steigenden Anforderungen der Benutzerbasis möchte ich die elegantesten verfügbaren Lösungen. Es ist sicherlich möglich, den mehrstufigen Ansatz zu wählen und "Ihre eigenen zu rollen", aber ich habe mich mit einigen grundlegenden Sicherheits- und Nutzungsüberwachungsfunktionen des Barracuda-Geräts gut geschlagen. Die Benutzer sind sehr zufrieden mit dem Ergebnis.

Hinweis: Cisco Ironport ist auch großartig ... Nur teurer.

31
ewwhite

Teilweise unterstütze ich, was andere gesagt haben; teilweise nicht.

Spamassassin

Das funktioniert sehr gut für mich, aber Sie müssen einige Zeit damit verbringen, den Bayes'schen Filter zu trainieren sowohl mit Schinken als auch mit Spam.

Greylisting

ewwhite mag das Gefühl haben, dass sein Tag gekommen und gegangen ist, aber ich kann nicht zustimmen. Einer meiner Kunden fragte, wie effektiv meine verschiedenen Filter waren. Hier sind die ungefähren Statistiken für Juli 2012 für meinen persönlichen Mailserver:

  • 46000 Nachrichten versuchten Zustellung
  • 1750 kam durch Greylisting
  • 250 kamen durch Greylisting + trainierten Spamassassin

So schafften es ungefähr 44000 nie durch die Grauliste; Wenn ich kein Greylisting gehabt hätte und all diese akzeptiert hätte, hätten sie alle Spam-Filter benötigt, alle mit CPU und Speicher und tatsächlich Bandbreite.

Bearbeiten: Da diese Antwort für einige Leute nützlich zu sein scheint, dachte ich, ich würde die Statistiken auf den neuesten Stand bringen. Daher habe ich die Analyse der E-Mail-Protokolle ab Januar 2015, 2,5 Jahre später, erneut ausgeführt.

  • 115.500 Nachrichten versuchten die Zustellung
  • 13.300 kamen durch Greylisting (und einige grundlegende Sanitätsprüfungen, z. B. gültige Absenderdomäne)
  • 8.500 kamen durch Greylisting + ausgebildeten Spamassassin

Die Zahlen sind nicht direkt vergleichbar, da ich nicht mehr weiß, wie ich zu den Zahlen für 2012 gekommen bin, sodass ich nicht sicher sein kann, ob die Methoden identisch waren. Aber ich bin zuversichtlich, dass ich damals keine rechenintensive Spam-Filterung für sehr viele Inhalte durchführen musste, und das tue ich immer noch nicht, weil ich Greylisting habe.

SPF

Dies ist eigentlich keine Anti-Spam-Technik, aber sie kann die Menge an Rückstreuung reduzieren, mit der Sie zu kämpfen haben, wenn Sie mit Joe arbeiten. Sie sollten es sowohl rein als auch raus verwenden, dh: Sie sollten den SPF-Datensatz des Absenders auf eingehende E-Mails überprüfen und entsprechend akzeptieren/ablehnen. Sie sollten auch Ihre eigenen SPF-Einträge veröffentlichen, in denen alle Computer aufgelistet sind, die zum Senden von E-Mails zugelassen sind, und alle anderen mit -all Sperren. SPF-Datensätze, die nicht mit -all Enden, sind völlig nutzlos.

Blackhole-Listen

RBLs sind problematisch, da man ohne eigenes Verschulden auf sie zugreifen kann und es schwierig sein kann, sie zu verlassen. Trotzdem haben sie eine legitime Verwendung bei der Spam-Bekämpfung, aber Ich würde dringend empfehlen, dass kein RBL jemals als Bright-Line-Test für die Akzeptanz von E-Mails verwendet werden sollte. Die Art und Weise, wie Spamassassin mit RBLs umgeht - indem viele verwendet werden, von denen jede zu einer Gesamtpunktzahl beiträgt, und diese Punktzahl entscheidet über die Annahme/Ablehnung - ist viel besser.

Dropbox

Ich meine nicht den kommerziellen Dienst, ich meine, mein Mailserver hat eine Adresse, die alle meine Graulisten und Spamfilter durchschneidet, die aber nicht an die INBOX von irgendjemandem gesendet wird, sondern in einen weltweit beschreibbaren Ordner in /var, Der automatisch jede Nacht von E-Mails entfernt wird, die älter als 14 Tage sind.

Ich ermutige alle Benutzer, dies zu nutzen, wenn sie beispielsweise E-Mail-Formulare ausfüllen, für die eine validierbare E-Mail-Adresse erforderlich ist. Dort erhalten Sie eine E-Mail, die Sie behalten müssen, von der Sie jedoch nie wieder hören möchten, oder beim Kauf von Online-Anbietern, die ihre Adresse wahrscheinlich verkaufen und/oder spammen (insbesondere solche, die außerhalb der Reichweite der europäischen Datenschutzgesetze liegen). Anstatt ihre echte Adresse anzugeben, kann ein Benutzer die Dropbox-Adresse angeben und nur dann in die Dropbox schauen, wenn er etwas von einem Korrespondenten (normalerweise einer Maschine) erwartet. Wenn es eintrifft, kann sie es auswählen und in ihrer richtigen Postsammlung speichern. Kein Benutzer muss zu einem anderen Zeitpunkt in die Dropbox schauen.

26
MadHatter

Ich verwende eine Reihe von Techniken, die Spam auf ein akzeptables Maß reduzieren.

Verzögerung beim Akzeptieren von Verbindungen von falsch konfigurierten Servern. Ein Großteil des Spam, den ich erhalte, stammt von Spambots, die auf einem mit Malware infizierten System ausgeführt werden. Fast alle bestehen die rDNS-Validierung nicht. Eine Verzögerung von etwa 30 Sekunden vor jeder Antwort führt dazu, dass die meisten Spambots aufgeben, bevor sie ihre Nachricht zugestellt haben. Wenn Sie dies nur auf Server anwenden, bei denen rDNS fehlschlägt, wird die Bestrafung ordnungsgemäß konfigurierter Server vermieden. Einige falsch konfigurierte legitime Massen- oder automatisierte Absender werden bestraft, liefern jedoch mit minimaler Verzögerung.

Durch das Konfigurieren von SPF für alle Ihre Domänen werden Ihre Domänen geschützt. Die meisten Subdomains sollten nicht zum Senden von E-Mails verwendet werden. Die Hauptausnahme sind MX-Domänen, die in der Lage sein müssen, E-Mails selbst zu senden. Eine Reihe legitimer Absender delegiert Massen- und automatisierte E-Mails an Server, die nach ihrer Richtlinie nicht zulässig sind. Durch Zurückstellen statt Ablehnen basierend auf SPF können sie ihre SPF-Konfiguration korrigieren oder Sie können sie auf die Whitelist setzen.

Erfordern einen FQDN (Fully Qualified Domain Name) im Befehl HELO/EHLO. Spam verwendet häufig einen nicht qualifizierten Hostnamen, Adressliterale, IP-Adressen oder eine ungültige TLD (Top Level Domain). Leider verwenden einige legitime Absender ungültige TLDs, so dass es in diesem Fall möglicherweise besser ist, diese aufzuschieben. Dies kann eine Überwachung und Whitelist erfordern, damit die E-Mails weitergeleitet werden können.

DKIM hilft bei der Nicht-Zurückweisung, ist aber ansonsten nicht sehr nützlich. Ich habe die Erfahrung gemacht, dass Spam wahrscheinlich nicht signiert wird. Es ist wahrscheinlicher, dass Schinken signiert wird, sodass er einen gewissen Wert für die Spam-Wertung hat. Einige legitime Absender veröffentlichen ihre öffentlichen Schlüssel nicht oder konfigurieren ihr System auf andere Weise nicht ordnungsgemäß.

Greylisting ist hilfreich für Server, die Anzeichen einer Fehlkonfiguration aufweisen. Server, die richtig konfiguriert sind, werden irgendwann durchkommen, daher neige ich dazu, sie vom Greylisting auszuschließen. Es ist nützlich, Freemailer auf die Greylist zu setzen, da sie gelegentlich für Spam verwendet werden. Die Verzögerung gibt einigen Spamfilter-Eingängen Zeit, um den Spammer zu fangen. Es neigt auch dazu, Spambots abzulenken, da sie es normalerweise nicht erneut versuchen.

Blacklists und Whitelists können ebenfalls helfen.

  • Ich habe festgestellt, dass Spamhaus eine zuverlässige schwarze Liste ist.
  • Auto WhiteListing im Spam-Filter hilft dabei, die Bewertung von häufigen Absendern, die gelegentlich Spam sind, oder Spammern, die gelegentlich Hamish sind, zu glätten.
  • Ich finde die Whitelist von dnsl.org auch nützlich.

Spam-Filter-Software ist ziemlich gut darin, Spam zu finden, obwohl einige durchkommen werden. Es kann schwierig sein, das falsche Negativ auf ein vernünftiges Niveau zu bringen, ohne das falsche Positiv zu stark zu erhöhen. Ich finde, Spamassassin fängt den größten Teil des Spam auf, der es erreicht. Ich habe einige benutzerdefinierte Regeln hinzugefügt, die meinen Anforderungen entsprechen.

Postmaster sollten die erforderlichen Missbrauchs- und Postmasteradressen konfigurieren. Bestätigen Sie das Feedback, das Sie zu diesen Adressen erhalten, und handeln Sie danach. Auf diese Weise können andere sicherstellen, dass Ihr Server ordnungsgemäß konfiguriert ist und kein Spam entsteht.

Wenn Sie Entwickler sind, verwenden Sie die vorhandenen E-Mail-Dienste, anstatt Ihren eigenen Server einzurichten. Ich habe die Erfahrung gemacht, dass Server, die für automatisierte E-Mail-Absender eingerichtet wurden, wahrscheinlich falsch konfiguriert sind. Überprüfen Sie die RFCs und senden Sie ordnungsgemäß formatierte E-Mails von einer legitimen Adresse in Ihrer Domain.

Endbenutzer können eine Reihe von Maßnahmen ergreifen, um Spam zu reduzieren:

  • Öffne es nicht. Kennzeichnen Sie es als Spam oder löschen Sie es.
  • Stellen Sie sicher, dass Ihr System sicher und frei von Malware ist.
  • Überwachen Sie Ihre Netzwerknutzung, insbesondere wenn Sie Ihr System nicht verwenden. Wenn es viel Netzwerkverkehr generiert, wenn Sie es nicht verwenden, sendet es möglicherweise Spam.
  • Schalten Sie Ihren Computer aus, wenn Sie ihn nicht verwenden. (Es kann keinen Spam generieren, wenn es deaktiviert ist.)

Domaininhaber/ISPs können helfen, indem sie den Internetzugang auf Port 25 (SMTP) auf offizielle E-Mail-Server beschränken. Dies schränkt die Fähigkeit von Spambots ein, an das Internet zu senden. Dies ist auch hilfreich, wenn dynamische Adressen Namen zurückgeben, die die rDNS-Validierung nicht bestehen. Noch besser ist es, zu überprüfen, ob der PTR-Datensatz für Mailserver die rDNS-Bewertung besteht. (Überprüfen Sie beim Konfigurieren von PTR-Datensätzen für Ihre Clients auf Tippfehler.)

Ich habe begonnen, E-Mails in drei Kategorien einzuteilen:

  • Ham (fast immer von ordnungsgemäß konfigurierten Servern, ordnungsgemäß formatierten und häufig persönlichen E-Mails.)
  • Spam (Meistens von Spambots, aber ein bestimmter Prozentsatz stammt von Freemailern oder anderen Absendern mit nicht ordnungsgemäß konfigurierten Servern.)
  • Bacn; könnte Ham oder Spam sein (Enthält viele E-Mails von Mailinglisten und automatisierten Systemen. Ham landet normalerweise aufgrund von DNS- und/oder Serverfehlkonfigurationen hier.)
14
BillThor

Die EINZIGE effektivste Lösung, die ich gesehen habe, ist die Verwendung eines der externen Mail-Filterdienste.

Ich habe Erfahrung mit den folgenden Dienstleistungen bei aktuellen Kunden. Ich bin sicher, dass es noch andere gibt. Jeder von ihnen hat meiner Erfahrung nach hervorragende Arbeit geleistet. Die Kosten sind für alle drei angemessen.

  • Postini von Google
  • MXLogic von McAfee
  • SecureTide von AppRiver

Die Services bieten gegenüber lokalen Lösungen mehrere enorme Vorteile.

  1. Sie stoppen den größten Teil (> 99%) des Spam, bevor er Ihre Internetverbindung und Ihren E-Mail-Server erreicht. Angesichts des Spam-Volumens sind dies viele Daten, die sich nicht auf Ihrer Bandbreite und nicht auf Ihrem Server befinden. Ich habe einen dieser Dienste ein Dutzend Mal implementiert und jeder einzelne führte zu einer spürbaren Leistungsverbesserung des E-Mail-Servers.

  2. Sie filtern auch Viren, normalerweise in beide Richtungen. Dies verringert die Notwendigkeit einer "Mail-Antiviren" -Lösung auf Ihrem Server und hält die Viren vollständig

Sie machen auch einen großartigen Job beim Blockieren von Spam. In 2 Jahren bei einem Unternehmen, das MXLogic verwendet, habe ich nie ein falsches Positiv erhalten und kann die legitimen Spam-Nachrichten zählen, die einerseits eingegangen sind.

6
tomjedrz

Keine zwei Mail-Umgebungen sind gleich. Das Erstellen einer effektiven Lösung erfordert daher viele Versuche und Irrtümer in Bezug auf die vielen verschiedenen verfügbaren Techniken, da der Inhalt von E-Mail, Datenverkehr, Software, Netzwerken, Absendern, Empfängern und vielem mehr in verschiedenen Umgebungen sehr unterschiedlich sein wird.

Die folgenden Blocklisten (RBLs) eignen sich jedoch gut für die allgemeine Filterung:

Wie bereits erwähnt, ist SpamAssassin bei korrekter Konfiguration eine großartige Lösung. Stellen Sie nur sicher, dass Sie so viele Addon-Perl-Module wie möglich in CPAN sowie Razor, Pyzor und DCC installieren. Postfix funktioniert sehr gut mit SpamAssassin und ist viel einfacher zu verwalten und zu konfigurieren als beispielsweise EXIM.

Das Blockieren von Clients auf IP-Ebene mit fail2ban und iptables oder ähnlichem für kurze Zeiträume (z. B. einen Tag bis eine Woche) nach einigen Ereignissen, z. B. das Auslösen eines Treffers auf einer RBL wegen missbräuchlichen Verhaltens, kann ebenfalls sehr effektiv sein. Warum sollten Sie Ressourcen verschwenden, wenn Sie mit einem bekannten virusinfizierten Host sprechen?

5
Fat Finger